新能源廠站IT資源的分級管理策略

周銘遙 陳芬

摘要 隨著新能源廠站近些年發(fā)展逐步加快，大量新能源廠站已經(jīng)接入電網(wǎng)，成為國家能源轉(zhuǎn)型的新動力。由于新能源廠站地理位置和管理水平薄弱等諸多特殊原因，其IT資源普遍疏于管理、運維管理方面存在安全隱患。本文分析了新能源廠站IT資源的特點，介紹了新能源廠站IT資源的分級管理的方法和研究，通過權限管理、分級管理、細粒度分析來進行安全運維管控，形成新能源廠站安全分級管理策略體系。同時，也對保證電網(wǎng)安全、穩(wěn)定、經(jīng)濟運行具有一定的意義。

【關鍵詞】新能源 分級管理 細粒度的訪問控制

1 新能源廠站IT資源訪問控制安全性分析

新能源作為一種清潔的可再生能源，日益引起世界各國的重視，新能源發(fā)電技術基本趨于成熟，國家大力鼓勵新能源發(fā)電企業(yè)的建立，因此大量監(jiān)控系統(tǒng)及網(wǎng)絡設備需要科學有效的運維及管理，由于監(jiān)控系統(tǒng)及網(wǎng)絡設備均部署至各個新能源電站，分散式運維管理過程中不能有效監(jiān)管和審計，設備眾多、系統(tǒng)操作人員負責等因素，因此出現(xiàn)電廠IT資源越權訪問、錯誤操作、資源濫用、責任疏忽、安全泄密等時有發(fā)生。導致IT資源運維工作量非常巨大，而且存在安全風險，雖然多數(shù)新能源廠站已經(jīng)建立了自身的信息安全管理體系和安全管理制度、但是由于電廠運維人員管理方式還很傳統(tǒng)、管理水平未達到現(xiàn)有的國家電網(wǎng)針對新能源廠站信息安全管理的要求，因此很多電新能源廠站開始通過一體化新能源安全管控系統(tǒng)來進行安全運維審計管控，確保生產(chǎn)和控制大區(qū)的信息系統(tǒng)安全，進一步探索和完善適應于新能源廠站自身安全需求的分級管理策略體系。

2 電力安全防護的重要性要求

電力系統(tǒng)安全穩(wěn)定運行是電網(wǎng)安全的重中之重，國網(wǎng)逐年加大建立和完善電網(wǎng)安全防護體系的力度、包括數(shù)據(jù)網(wǎng)絡安全防護體系要求、等級保護要求、電廠計算機監(jiān)控系統(tǒng)IT資源安全管理規(guī)范要求，國家和行業(yè)相關部門先后發(fā)布了多項政策規(guī)定，主要包括：

（1）《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定》（中華人民共和國國家經(jīng)濟貿(mào)易委員會令第30號）。

（2）《電力二次系統(tǒng)安全防護規(guī)定》（國家電力監(jiān)管委員會令第5號）。

（3）《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（中華人民共和國國家發(fā)展和改革委員會令第14號）。

（4）《電力監(jiān)控系統(tǒng)安全防護總體方案》（國能安全[2015] 36號）。

其中《電力監(jiān)控系統(tǒng)安全防護總體方案》（國能安全[2015] 36號）作為行業(yè)最新的電力系統(tǒng)安全規(guī)范文件，制定了電網(wǎng)安全防護規(guī)范，以“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”為原則，針對新能源廠站綜合安全防護.應用安全控制部分，明確指出要嚴格對SIS、MIS等應用系統(tǒng)以及IT資源訪問控制進行安全訪問控制，如身份認證、訪問控制、權限控制策略等安全措施。通過密碼集中管控分級管理技術、統(tǒng)一運維操作技術、運維流程化管理技術提升運維的管理水平，提高運維的工作效率。實現(xiàn)新能源場站運維過程可管、可控、可審。如圖1所示。

3 分級管理策略

IT資源的密碼分級管理，屬于應用級的安全管理范圍，基于角色的訪問控制方法（Role-Based policies Access Control，RBAC）是目前在密碼分級管理對于解決企業(yè)統(tǒng)一資源訪問控制是比較有效的方法，它的核心內(nèi)容包括以下兩點：

（1）密碼分級管理減小管理者進行授權管理的復雜性，有效降低密碼集中管理開銷。

（2）密碼分級管理可以靈活地配置企業(yè)的安全策略，并對企業(yè)的變化有很大的伸縮性。

分級管理理論的關鍵點首先是針對“人”的分級管理，即通過縝密細致的訪問控制與“人”相關的一系列安全策略管理。另一方面是針對“事件”的分級管理，即細粒度的訪問控制，它涵蓋最小權限賦予、分級管理、事件有效追溯的三個重要方面：

3.1 安全策略管理

實際運用中，一體化新能源安全管控系統(tǒng)根據(jù)使用人主要劃分為三種角色，即管理員、運維操作員、審計員。如圖2所示。

管理員的主要職責是根據(jù)電力行業(yè)要求，制定相應的訪問策略，并為運維人員授權資源及操作權限。管理員登錄一體化新能源安全管控系統(tǒng)后，“策略管理”組件負責與管理員進行交互，并將管理員配置的安全策略存儲到一體化新能源安全管控系統(tǒng)內(nèi)部的策略配置庫中?！皯么怼苯M件是一體化新能源安全管控系統(tǒng)的核心功能，負責把操作人員的操作行為代理中轉(zhuǎn)到目標設備以及把服務器端返回的結(jié)果代理轉(zhuǎn)給操作人員，以及負責與其他中其他組件的交互，可以說是系統(tǒng)中各模塊通訊的“樞紐站”，“應用代理”組件收到運維人員的操作請求后首先判斷其合法性，具體做法是調(diào)用“策略管理”組件對該操作行為進行核查，依據(jù)便是查詢管理員已經(jīng)配置好的策略配置庫，如果此次操作不符合安全要求，“應用代理”組件將拒絕該操作行為的執(zhí)行。如果操作符合策略要求，“應用代理”組件則按照運維人員要求代理連接目標設備并完成相應操作，并將操作結(jié)果中轉(zhuǎn)給對應的運維操作人員;同時操作過程被提交給“審計模塊”，然后此次操作過程被記錄到審計模塊數(shù)據(jù)庫中。最后當需要調(diào)查運維人員的歷史操作記錄時，由審計員登錄一體化新能源安全管控系統(tǒng)進行查詢，然后“審計模塊”從審計日志數(shù)據(jù)庫中讀取相應日志記錄并展示在審計員交互界面上。

3.2 權限安全管理

所謂權限就是對操作員能訪問那些資源以及如何訪問進行控制，必須遵守“最小權限”原則，即以其能進行系統(tǒng)管理、操作的最小權限進行授權。對用戶、角色及行為和資源進行授權，以達到對權限的細粒度控制，最大限度保護用戶資源的安全。通過集中訪問授權和訪問控制可以對用戶通過B/S模式、C/S模式對服務器主機、網(wǎng)絡設備的訪問進行審計和阻斷。授權的對象主要包括用戶、角色、資源和用戶行為?？梢约毩６茸龅接烧l去訪問，在什么終端地址訪問，用什么協(xié)議訪問，訪問那些資源，可以使用資源什么賬號訪問，對某些用戶還可以實現(xiàn)限制用戶的操作，控制的力度達到命令級。

比如可以使用什么命令。如圖3所示。

3.3 實現(xiàn)細粒度權限訪問控制

細粒度基于方法級別權限控制是主流的權限控制之一，細粒度的訪問控制（ fine-grainedaccess control），是一種基于訪問控制的模型，將所有IT資源引入訪問控制中，其理念是把所有資源的用戶訪問權限進行分級，分解成盡量小的粒度，不同的權限分配不同的權限粒度，實現(xiàn)既具細粒度、同時兼具控制伸縮性的目標IT資源數(shù)據(jù)訪問控制安全。

細粒度的命令策略是具有可執(zhí)行和非可執(zhí)行命令的集合，將一組特定的命令集合分配給指定的用戶，該指定用戶的所有系統(tǒng)行為即被限制管理起來，管理員會根據(jù)不同類型角色為其指定不同的控制策略來達到限定用戶的權限。

通過制定嚴密且符合用戶需求的訪問控制策略，是保護IT資源安全性的重要環(huán)節(jié)，制定良好的訪問策略能夠更好的提高IT資源的安全性。

基于以上的分析我們可以總結(jié)出，基于細粒度的訪問控制可以更清晰的為客戶實現(xiàn)：

（1） Who（誰）：控制哪些指定用戶被允許操作;

（2） Where（什么地點）：控制來源于哪些地址的外來用戶被允許訪問哪些資源;

（3） When（什么時間）：控制在哪些時間范圍中能夠允許用戶來操作IT資源;

（4） What（做了什么）：控制用戶執(zhí)行哪些可被允許的命令和操作;如圖4所示。

4 結(jié)束

隨著新能源發(fā)電的發(fā)展，以及對電力系統(tǒng)安全性要求的日益重視，電力企業(yè)信息安全基礎就顯得至關重要，通過對新能源廠站IT資源的分級管理策略的上述研究，我們發(fā)現(xiàn)這種細粒度的分級管理理念是具有可靠性、創(chuàng)新性和可塑性的。不僅應用在一體化新能源安全管控系統(tǒng)，做到“人…權”分級管理新模式;還可以將分級管理理念拓展到其他生產(chǎn)運營管理中，這樣可以幫助新能源發(fā)電企業(yè)深入探索和完善安全管理體系，提升企業(yè)管理水平，構(gòu)建運維標準化體系和信息安全技術督查體系，保證運維的目標IT資源的保密性、完整性、可用性。提高電力企業(yè)信息管理者的安全管理思路，促進企業(yè)經(jīng)濟效益持續(xù)增長。

參考文獻

[1]周文峰，尤軍考，何基香，基于RBAC模型的權限管理系統(tǒng)設計與實現(xiàn)[J].微計算機信息，2 006，22（3—5）：35-36.

[2] Sandhu R S，Coyne E J，F(xiàn)einsteinH L，et al. Role-based AccessControl Models[J].IEEE Computer，1996，29 （02）：38-47.